Bulletin d'alerte Debian

DSA-3106-1 jasper -- Mise à jour de sécurité

Date du rapport :
20 décembre 2014
Paquets concernés :
jasper
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 773463.
Dans le dictionnaire CVE du Mitre : CVE-2014-8137, CVE-2014-8138.
Plus de précisions :

Jose Duart de l'équipe de sécurité de Google a découvert un défaut de double libération de zone de mémoire (CVE-2014-8137) et un défaut de dépassement de tas (CVE-2014-8138) dans JasPer, une bibliothèque pour manipuler les fichiers JPEG-2000. Un fichier contrefait pour l'occasion pourrait faire planter une application utilisant JasPer ou, éventuellement, exécuter du code arbitraire.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.900.1-13+deb7u2.

Pour la prochaine distribution stable (Jessie) et la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets jasper.